GENERALIDADES

Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información.


Auditoría y Control de Sistemas e Informática.

Para comenzar a plantear la definición y los conceptos de la Auditoria de Sistemas e Informática, debemos posicionarnos en ¿Que es AUDITORIA?, El término de Auditoría mucha veces se ha empleado incorrectamente y con frecuencia solo se le considera como una evaluación cuyo único fin es detectar errores y señalar fallas. Pero la auditoría y el control va mas allá de detectar fallas. La palabra auditoría proviene del latín auditorius, y de ella se deriva la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
Concepto de Auditoría.- Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
Función del Control.- Una definición que es correcta y a la cual representa el valor de la Función del Control es la de ayudar a los Funcionarios que tienen responsabilidad Administrativa, Técnica y/u Operacional a que no incurran en falta. Y es por ello que aquí el Control es Creativo - Inteligente, y Constructivo de asesoramiento oportuno a todas las Direcciones o Gerencias a fin de que la Toma de Decisiones sea acertada, segura y se logren los objetivos, con la máxima eficiencia.
de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas. El concepto de auditoría es mucho más que esto.
El Control de Sistemas e Informática, consiste en examinar los recursos, las operaciones, los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas Informáticos), de los Organismos sujetos a control, con al finalidad de evaluar la eficacia y eficiencia Administrativa Técnica y/u Operacional de los Organismos, en concordancia con los principios, normas, técnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos, Diseño, Software, Hardware, Seguridad, Respaldos y otros) adoptados por la Organización para su dinámica de Gestión en salvaguarda de los Recursos del Estado.
Existe otra definición sobre el "control técnico" en materia de Sistemas e Informática, y esta se orienta a la revisión del Diseño de los Planes, Diseños de los Sistemas, la demostración de su eficacia, la Supervisión compulsa de rendimientos, Pruebas de Productividad de la Gestión - Demanda llamada "Pruebas intermedias", el análisis de resultados, niveles y medios de seguridad, respaldo, y el almacenamiento. Así mismo medición de la vida útil del Sistema Informático adoptado por la Organización bajo control.
Objetivos de la Auditoría y Control de Sistemas e Informática.-Los principales objetivos que constituyen a la auditoría Informática son:
El control de la función informática (Sistema de Información - SI y la Tecnología de la Información -TI).
El análisis de la eficiencia de los SI y la TI.
La verificación del cumplimiento de la Normativa General de la Organización.
La verificación de los Planes, Programas y Presupuestos de los Sistemas Informáticos.
La revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
La revisión y verificación de Controles Técnicos Generales y Específicos de Operatividad.
La revisión y verificación de las Seguridades.
De Cumplimiento de normas y estándares.
De Sistema Operativo.
De Seguridad de Software.
De Seguridad de Comunicaciones.
De Seguridad de Base de Datos.
De Seguridad de Proceso.
De Seguridad de Aplicaciones.
De Seguridad Física.
De Suministros y Reposiciones.
De Contingencias.
El análisis del control de resultados.
El análisis de verificación y de exposición de debilidades y disfunciones.
El auditor informático.- Es el profesional que ha de cuidar y velar por la correcta utilización de los diversos recursos que la organización y debe comprobar que se este llevando acabo un eficiente y eficaz Sistema de Información y la Tecnología de la Información. Pues estas dos puntos en la actualidad soporta la Auditoría y Control de los Sistemas e Informática en la Gestión moderna.
Cuando se aplica el CIPOD en la Auditoría y Control de Sistemas e Informática.- Nos encontramos que en ella no da "Indicios, anomalías y síntomas" que nos permite percibir que la Organización bajo control esta con problemas de resultados como de eficacia y eficiencia en los Sistemas Informáticos y en la Tecnología de la Información. Vamos a citar algunos ejemplos que se encuentran:
Creatividad.-
Sistemas Informáticos de Baja Perfomance creativa.
Deficiente manejo de Imaginación y Creatividad para las Producciones de Servicios.
No permite variabilidad y atención a Usuarios.
Falta de una buena Integración de la Información y Difusión del Organismo con la Sociedad, a través de medios y del internet.
Pocos Servicios Creativos, donde el usuario manifiesta su descontento.
Exceso de monotonía y rutina de procesos administrativos y técnicos.
Deficiente nivel de Proceso de la Investigación y Desarrollo Creativo.
Usuarios se quejan por engorrosos procedimientos Informáticos.
Inteligencia.-
La Organización no cuenta con Formación de Conocimientos en Sistemas y Tecnología Informática.
Exceso de averías en los Sistemas Informáticos.
No hay Capacitación ni entrenamiento de nuevas Tecnologías.
Tratamiento de la Tecnología para la Inteligencia Empresarial muy deficiente.
Los Estándares de Productividad son bajos.
Bajo Índice de Producción de Servicio (Planificación, Producción y Soporte Técnico),
Usuarios salen conformes con la resolución de problemas (Relacionados a los Sistemas Informáticos).
Informática de Comunicaciones, Tele Comunicaciones y Redes; no se encuentra Integrado a los Procesos Intranet, Extranet e Internet.
Los Controles Inteligentes de procesos son deficientes.
Deficiente nivel de Investigación y Desarrollo Tecnológico.
Alto Índice de desatendidos y asuntos pendientes (Relacionados a Tecnologías de la Información).
Personalidad.-
Carencia de Identidad, Rumbo y de Mística Laboral y Personal.
Síntomas de mala Imagen.
Baja Productividad de Trabajo.
Alto Índice de estrés laboral.
Perdida de credibilidad del Organismos.
Usuarios manifiestan su descontento con el trato y atención.
Organización.-
Desorganización estructural y Funcional.
Descoordinación Funcional Horizontal - Vertical.
Demasiado Centralismo Funcional y Operativo de los Sistemas Informáticos.
Alto riesgo de Inseguridad Operativa, de Tecnología y de Información.
Las áreas de Producción, Desarrollo, Sistemas, Comunicaciones y Seguridad en estado Critico.
Usuarios manifiestan excesiva desubicación en los desplazamientos por la organización.
Usuarios manifiestan descontento porque no se cumplen con los plazos de entrega de resultados periódicos.
Dirección.-
Carencia de Objetivos, Estrategias y Planes de los Sistemas e Informática.
Toma de Decisiones deficientes por Tecnologías de la Información inadecuadas.
Los Programas de Auditorías y Control no logra recomponer fallas.
Descoordinación en la Toma de decisiones.
Desviaciones Presupuestarias significativas.
Incremento desmesurado de costos y gastos.
Carencia de Proyectos de Sistemas e Informática.
Baja adopción de Medidas del Plan de Contingencias.
Usuarios se quejan por ineficacias de Resoluciones en Niveles Directivos.
Herramientas y Técnicas para la Auditoría Informática:
Cuestionarios.
Entrevistas.
Formularios Checklist.
Formularios Virtuales,
Pruebas de Consistencias.
Inventarios y Valorizaciones.
Historias de cambios y mejoras.
Reporte de Bases de Datos y Archivos
Reportes de Estandares.
Compatibilidades e Uniformidades.
Software de Interrogación:
Certificados, Garantías, otros del Software.
Fotografías o Tomas de Valor (Imágenes).
Diseño de Flujos y de la red de Información.
Planos de Distribución e Instalación (Para Estudio y Revisión).
Listado de Proveedores.
Otros.
Metodología de Trabajo de Auditoría Informática.
Diseño del Plan y método de trabajo.
Alcance y Objetivos de la Auditoría Informática.
Estudio inicial del entorno u medio auditable.
Determinación de los recursos necesarios para realizar la auditoría.
Elaboración del plan y de los Programas de Trabajo.
Actividades propiamente dichas de la auditoría.
Confección y redacción del Informe Final.
Determinación de las Conclusiones y recomendaciones.
Fijación del Pliego de Responsabilidades y valoración de Gestión.
Redacción de la Carta del Informe final.

0 comentarios:

Publicar un comentario